1.会话跟踪技术的概述
会话跟踪技术就是处理一次会话中多次请求间数据共享问题
会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
从浏览器发出请求到服务端响应数据给前端之后,一次会话(在浏览器和服务器之间)就被建立了
会话被建立后,如果浏览器或服务端都没有被关闭,则会话就会持续建立着
- 浏览器和服务器就可以继续使用该会话进行请求发送和响应,上述的整个过程就被称之为会话。
服务器有两个资源A和B 浏览器第一次访问资源A收到响应 会话就建立了 这个会话指的是浏览器和服务器之间的会话 建立会话之后浏览器没有关闭服务器没有关闭 这个会话还保持着没有断开 浏览器会继续请求服务器B资源收到响应这个过程称之为会话 而且这是一次会话多次请求响应
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
现在服务器收到很多请求 服务器需要识别一下 请求3 和4 是否是同一个浏览器发出的 服务器需要识别 识别的过程我们称之为会话跟踪 跟踪之后我们可以在同一次会话的多次请求之间来共享数据 共享数据可以完成非常多的功能比如购物车
服务器会收到很多请求,但是服务器并不知道哪一次请求和哪一次请求属于同一个浏览器服务期就完成不了会话跟踪 那也就意味着数据共享也共享不了了
服务器并不知道哪一次请求和哪一次请求属于同一个浏览器 原因:客户端和浏览器用了HTTP协议 它是无状态的 每次浏览器向服务器发送请求 服务器都会认为新的请求 也就是请求1请求服务器 请求2请求服务器 这两次请求服务器都是认为新的请求 服务器不能识别这两次请求是同一个 如果http设置为有状态的 请求1和请求2相互携带数据 每一次后面请求都携带钱前面数据 这样就导致后面请求数据量大 后面请求访问数据很慢 HTTP请求把每一次设置为独立的 每一次请求速度就非常快了 由于这种无状态的特性导致不能识别请求与请求之间的关联关系
会话跟踪技术:完成一次会话的多次请求之间共享数据 而客户端会话跟踪技术cookie将来把数据存入客户端浏览器cookie内叫客户端跟踪技术而服务器端跟踪技术指的是把数据放入服务器端叫Session Cookie和Session一次会话多次请求内数据共享的 数据存储的位置不一样而已
2. Cookie的工作流程
也就是说访问servleA服务器端创建cookie对象zs发送给客户端 客户端再一次发出请求携带当初服务器创建cookiezs(保存在浏览器客户端)同一次会话中再请求ServleB 浏览器就会携带cookiezs 在ServletB获取到数据
- 服务端提供了两个Servlet,分别是ServletA和ServletB
- 浏览器发送HTTP请求1给服务端,服务端ServletA接收请求并进行业务处理
- 服务端ServletA在处理的过程中可以创建一个Cookie对象并将
name=zs
的数据存入Cookie - 服务端ServletA在响应数据的时候,会把Cookie对象响应给浏览器
- 浏览器接收到响应数据,会把Cookie对象中的数据存储在浏览
- List item
器内存中,此时浏览器和服务端就建立了一次会话
- 在同一次会话中浏览器再次发送HTTP请求2给服务端ServletB,浏览器会携带Cookie对象中的所有数据
- ServletB接收到请求和数据后,就可以获取到存储在Cookie对象中的数据,这样同一个会话中的多次请求之间就实现了数据共享
将来我们作为后台的Java工程师 所以我们关注服务端的程序 客户端访问ServletA 第一次连接给客户端发送cookie 客户端怎么存 客户端怎么携带cookie再次访问我 服务器不关心的 客户端携带cookie下一次访问来请求我的数据 服务器端得在cookie里面获取数据 所以对于服务器端的工作人员发送cookie以及获取cookie
aServlet.java
@WebServlet(name = "AServlet", value = "/aServlet")
public class AServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//两行代码一致性就发送给客户端浏览器了
//1.创建cookie对象
Cookie cookie = new Cookie("username", "zhangsan");
//2.发送cookie response
response.addCookie(cookie);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
}
bServlet.java
@WebServlet(name = "BServlet", value = "/bServlet")
public class BServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//获取Servlet
//1.获取cookie数组
Cookie[] cookies = request.getCookies();
for (Cookie cookie : cookies) {
String name = cookie.getName();
if("username".equals(name)){
String value = cookie.getValue();
System.out.println(name+":"+value);
break;
}
}
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
}
3.Session
3.1概念
首先cookie数据存储在客户端浏览器里面数据不安全(因为数据在网络中传输) 服务端会话跟踪技术:将数据保存到服务端 将来我们使用 服务端有个对象叫Session 还是AB两个Servlet 这时候我们可以通过AB获取同一个Session对象 我们可以通过Aservlet往里面存入数据 通过Bservlet获取数据 这样也就是完成了请求1和请求2这一次会话 两次请求之间数据共享
Session:服务端会话跟踪技术:将数据保存到服务端。
- Session是存储在服务端而Cookie是存储在客户端
- 存储在客户端的数据容易被窃取和截获,存在很多不安全的因素
- 存储在服务端的数据相比于客户端来说就更安全
3.2 Session的工作流程
-
- 在服务端的AServlet获取一个Session对象,把数据存入其中
- 在服务端的BServlet获取到相同的Session对象,从中取出数据
- 就可以实现一次会话中多次请求之间的数据共享了
- 现在最大的问题是如何保证AServlet和BServlet使用的是同一个Session对象(在原理分析会讲解)?
3.3 Session的基本使用
在JavaEE中提供了HttpSession接口,来实现一次会话的多次请求之间数据共享功能。
具体的使用步骤为:
- 获取Session对象,使用的是request对象
HttpSession session = request.getSession();
- Session对象提供的功能:
-
存储数据到 session 域中
void setAttribute(String name, Object o)
-
根据 key,获取值
Object getAttribute(String name)
-
根据 key,删除该键值对
void removeAttribute(String name)
-
那么最主要的问题就来了,Session是如何保证在一次会话中获取的Session对象是同一个呢?
原理是基于cookie
(1)demo1在第一次获取session对象的时候,session对象会有一个唯一的标识,假如是id:10
(2)demo1在session中存入其他数据并处理完成所有业务后,需要通过Tomcat服务器响应结果给浏览器
(3)Tomcat服务器发现业务处理中使用了session对象,就会把session的唯一标识id:10
当做一个cookie,添加Set-Cookie:JESSIONID=10
到响应头中,并响应给浏览器
(4)浏览器接收到响应结果后,会把响应头中的coookie数据存储到浏览器的内存中
(5)浏览器在同一会话中访问demo2的时候,会把cookie中的数据按照cookie: JESSIONID=10
的格式添加到请求头中并发送给服务器Tomcat
(6)demo2获取到请求后,从请求头中就读取cookie中的JSESSIONID值为10,然后就会到服务器内存中寻找id:10
的session对象,如果找到了,就直接返回该对象,如果没有则新创建一个session对象
(7)关闭打开浏览器后,因为浏览器的cookie已被销毁,所以就没有JESSIONID的数据,服务端获取到的session就是一个全新的session对象
3.4 Session的使用细节
服务器重启后,Session中的数据是否还在?
(1)服务器端AServlet和BServlet共用的session对象应该是存储在服务器的内存中
(2)服务器重新启动后,内存中的数据应该是已经被释放,对象也应该都销毁了
所以session数据应该也已经不存在了。但是如果session不存在会引发什么问题呢?
举个例子说明下,
(1)用户把需要购买的商品添加到购物车,因为要实现同一个会话多次请求数据共享,所以假设把数据存入Session对象中
(2)用户正要付钱的时候接到一个电话,付钱的动作就搁浅了
(3)正在用户打电话的时候,购物网站因为某些原因需要重启
(4)重启后session数据被销毁,购物车中的商品信息也就会随之而消失
(5)用户想再次发起支付,就会出为问题
所以说对于session的数据,我们应该做到就算服务器重启了,也应该能把数据保存下来才对。
那么Tomcat服务器到底是如何做到的呢?
具体的原因就是:Session的钝化和活化:
-
钝化:在服务器正常关闭后,Tomcat会自动将Session数据写入硬盘的文件中
- 钝化的数据路径为:`项目目录\target\tomcat\work\Tomcat\localhost\项目名称\SESSIONS.ser
4.Cookie和Session小结
- Cookie 和 Session 都是来完成一次会话内多次请求间数据共享的。
所需两个对象放在一块,就需要思考:
Cookie和Session的区别是什么?
Cookie和Session的应用场景分别是什么?
- 区别:
- 存储位置:Cookie 是将数据存储在客户端,Session 将数据存储在服务端
- 安全性:Cookie不安全,Session安全
- 数据大小:Cookie最大3KB,Session无大小限制
- 存储时间:Cookie可以通过setMaxAge()长期存储,Session默认30分钟
- 服务器性能:Cookie不占服务器资源,Session占用服务器资源
- 应用场景:
- 购物车:使用Cookie来存储
- 以登录用户的名称展示:使用Session来存储
- 记住我功能:使用Cookie来存储
- 验证码:使用session来存储
- 结论
- Cookie是用来保证用户在未登录情况下的身份识别
- Session是用来保存用户登录后的数据